EternalBlue與Trojan[DDoS]/Win32.Nitol.M的「狼狽為奸」
前言
2017年4月被匿名黑客「影子經紀人」公布了第二批NSA武器,其中就包含了"EternalBlue"——MS17-010漏洞,5月中旬該漏洞的自動化利用工具如雨後春筍般在地下黑產出現並迅速傳播,目前為止安天捕風監控捕獲到的"EternalBlue"自動化利用工具已經已有多套(見圖1-1 工具集合),這也證實國外某黑客「NSA工具公布意味著黑客平民化開始」的警告言論。
圖1-1 工具集合
"EternalBlue"自動化工具的出現伊始就已經實現漏洞與各類型病毒結合。從早期監控捕獲到的"EternalBlue"與Gh0st遠控的為虎作倀實現RAT(Remote Accass Trojan)自動化種植感染,到現在的"EternalBlue"與Nitol.M的狼狽為奸實現DDoS botnet快速自動化拓展「肉雞」,都警示著:互聯網安全形勢越發嚴峻,為互聯網安全保駕護航更是任重而道遠。
基本信息
表1-1 樣本基本信息
傳播方式
2017-08-14 08:41:54,安天-捕風監控到一則木馬感染事件(見圖3-1 監控捕獲數據),並自動獲取相關hfs(HTTP Files Server)目錄下的樣本數據。發現hfs裡面還存放有"EternalBlue"自動化利用工具(見圖3-2 hfs數據),經過IDA分析x86.dll樣本得知利用該工具感染的病毒正是Trojan[DDoS]/Win32.Nitol.M被控端木馬(見圖3-3 木馬下載url地址),即http://***.***.166.83:5999/hw1.exe的Trojan[DDoS]/Win32.Nitol.M樣本可以通過該工具利用MS17-010漏洞進行自動化「肉雞」拓展。
圖3-1 監控捕獲數據
圖3-2 hfs數據
圖3-3 木馬下載url地址
樣本詳細分析
因為DDoS botnet的Nitol家族源碼早已開源化,所以互聯網上出現很多根據源碼改進的變種版本,Trojan[DDoS]/Win32.Nitol.M就是其中之一,主要實現DDoS攻擊類型有syn flood、udp flood、icmp flood、tcp flood、dns flood、cc flood。
1)樣本備份與創建服務
樣本運行會通過檢查服務名稱".Net CLR"(該服務名稱是Nitol家族默認服務名稱)存在與否來驗證樣本是否初次運行。見圖4-1 檢查服務名稱:
圖4-1 檢查服務名稱
2)如果服務名不存在,則進行樣本備份和創建服務實現樣本自啟動而長期駐留受害系統。
見圖4-2 樣本備份及自啟動設置:
圖4-2 樣本備份及自啟動設置
3)配置解密獲取C2並創建連接。
在配置解密上Trojan[DDoS]/Win32.Nitol.M同樣繼承Nitol家族系列的風格,使用base64 + 凱撒位移 + 異或三重演算法進行加密。
見圖4-3 C2配置解密:
圖4-3 C2配置解密
4)獲取系統配置信息。
獲取系統版本和CPU配置及內存信息作為向C2發送的首包內容,並實時等待接收C2遠程指令,見圖4-4 bot與C2通訊交互:
圖4-4 bot與C2通訊交互
5)解析並執行C2的遠程指令。
當接收到C2的遠程指令是首先對指令類型進行識別鑒定,然後分類執行(見圖4-5 識別鑒定指令類型)。
圖4-5 識別鑒定指令類型
遠程指令類型主要包含有DDoS Attack、Stop Attack、Download Files、CMD Shell、Delete Service,見表4-1指令類型數據表:
表4-1 指令類型數據表
6)DDoS攻擊指令協議解析。
該變種的DDoS Attack攻擊有syn flood、udp flood、icmp flood、tcp flood、dns flood、cc flood 6種攻擊類型,見圖4-6 DDoS攻擊類型。攻擊類型協議整理見表4-2 攻擊類型協議表:
圖4-6 DDoS攻擊類型
表4-2攻擊類型協議表
攻擊情報
結合7月21日捕獲到的同家族版本進行監控獲取的攻擊情報中得知,近一個月中共發起579次攻擊,185起攻擊事件,主要使用攻擊類型為syn flood佔57.3%,cc flood(http flood)佔28.6%,icmp flood佔11.9%,tcp flood佔2.2%,表4-3 受害者Top30列出被攻擊次數top30的部分攻擊情報,攻擊情報概覽見圖4-7 Trojan[DDoS]/Win32.Nitol.M攻擊情報概覽。
表4-3 受害者Top30
圖4-7 Trojan[DDoS]/Win32.Nitol.M攻擊情報概覽
總結
因為獨木難支,所以任何一個botnet家族都不會對互聯網形成足夠大的威脅,但是如果結合漏洞的自動化利用工具迅速拓展botnet的「肉雞」量,再加上多個botnet組團攻擊將會對互聯網造成極大的危害。從安天-捕風監控到的歷次高流量攻擊事件都是多個botnet家族聯合發起攻擊。據了解,目前網上流傳的「EternalBlue」自動化漏洞利用工具,通過IP網段自動化批量掃描每天仍舊能入侵大量設備並植入病毒,也就側面說明還有很多設備尚未升級系統及修補漏洞補丁。因此,安天作為國內網路安全盡責的守護者之一,提醒廣大同行警惕新型botnet的興起,同時也提醒廣大互聯網用戶安全、健康上網,安裝殺毒、防毒軟體(參考1 安天智甲工具)並及時升級系統和修補設備漏洞!
參考資料
http://www.antiy.com/tools.html
MD5:c7d0827b6224b86f0a90fa42a8d39edd
推薦閱讀:
※DedeCMS 漏洞為何屢修不止?
※如何玩轉Intel多款產品提權漏洞?
※Linux PIE/stack 內存破壞漏洞(CVE–2017–1000253)預警
※做安全研究挖不到漏洞,很迷惘?